华三防火墙激活授权后,向日葵远程被阻断
- 0关注
- 1收藏,78浏览
问题描述:
公司有一台华三防火墙作为网络出口,型号为F1000-AK1020。前不久购买了IAUT四合一授权,并激活了授权。该授权包含IPS(入侵防御系统)、AV(放病毒)、URL过滤以及安全威胁情报。 之后出现一个情况:当使用向日葵软件远程公司内部电脑时,连上1秒不到即被断开。提示连接已断开(错误码:49152);可能原因:1、对方已主动结束远程 2、对方解绑主机或退出登录 3、触发安全机制,自动断开远程
组网及组网描述:
根据错误信息,个人判断是防火墙阻断了向日葵远程的流量。查询网上资料,需要在防火墙上做配置:1、创建ACL,用于放行向日葵远程控制所需的 49152--65535 端口范围 TCP 和 UDP 流量 2、创建安全策略,放行了来自内网段 172.16.52.0/24 的向日葵远程控制流量 system-view acl advanced 3001 rule 10 permit tcp destination-port gt 49151 rule 20 permit udp destination-port gt 49151 security-policy ip rule 51 name permit_sunlogin_tcp source-zone Trust destination-zone Untrust source-ip-subnet 172.16.52.0 255.255.255.0 destination-ip-subnet 0.0.0.0 0.0.0.0 service-port tcp destination gt 49151 action pass rule 52 name permit_sunlogin_udp source-zone Trust destination-zone Untrust source-ip-subnet 172.16.52.0 255.255.255.0 destination-ip-subnet 0.0.0.0 0.0.0.0 service-port udp destination gt 49151 action pass save 做了以上配置,但仍无法远程。麻烦各位老师指点一下,谢谢!
在已创建的ACL 3001中添加允许规则,明确流量方向和端口范围:
acl advanced 3001
rule 5 permit tcp source 172.16.52.0 0.0.0.255 destination-port range eq 49152 65535
rule 6 permit udp source 172.16.52.0 0.0.0.255 destination-port range eq 49152 65535
(注:规则序号5、6为示例,需确保规则生效顺序优先)
2. 安全策略放行:
配置安全策略允许内网到外网的该流量,假设内网区域为trust,外网区域为untrust:
security-policy
rule name allow_sunflower
source-zone trust
destination-zone untrust
source-address 172.16.52.0 mask 255.255.255.0
destination-address any
service tcp destination-port range 49152 65535
service udp destination-port range 49152 65535
action permit
3. 安全功能排查:
检查IPS拦截日志:display ips log,若存在“可疑连接”拦截,需在IPS策略中添加例外规则。
检查威胁情报库:display threat-intelligence blacklist,若向日葵IP/域名被标记,执行undo threat-intelligence blacklist ip
临时关闭URL过滤:undo url-filter enable,测试是否恢复连接,若恢复则需在URL过滤策略中放行向日葵域名(如*.***.***)。
4. 策略应用验证:
确认ACL和安全策略已生效:display security-policy、display acl 3001,确保流量方向(入/出)与实际组网匹配。
一、 核心解决思路:调整 IPS 与安全策略联动
- 检查 IPS 拦截日志:登录防火墙后台,进入【日志中心】->【IPS日志】或【安全事件日志】,查找对应时间点是否有针对向日葵 IP 或端口的拦截记录。如果确认是 IPS 误杀,可以在对应的 IPS 策略中,将向日葵相关的特征码加入“例外/白名单”,或者临时降低该区域的安全防护级别进行测试。
- 启用应用识别放行(推荐):与其单纯依靠放行底层端口,不如直接在安全策略中放行“向日葵”这个应用对象。在 H3C 防火墙上,您可以尝试在安全策略的
service选项中,直接选择应用服务组中的“Sunlogin(向日葵)”或相应的远控应用类别,这样能同时绕过端口限制和部分应用层的严格审查。
二、 检查安全威胁情报与 URL 过滤
***.*** 等官方域名以及各类中继服务器节点。- 情报误杀:如果云端情报库将某个向日葵的中继节点标记为“僵尸网络”或“恶意域名”,连接会在握手阶段被秒断。建议在【威胁情报】模块中查看命中记录,并将向日葵的相关域名加入信任列表。
- URL 过滤:检查是否触发了 URL 过滤规则,确保向日葵相关的通信域名未被归类到禁止访问的分类中。
三、 客户端侧的防火墙与权限排查
- 主机自带防火墙/杀毒软件拦截:请检查被控电脑的 Windows Defender、火绒或 360 等安全软件,它们可能会把向日葵的网络通信当成风险拦截。请将向日葵添加到这些软件的信任/白名单列表中。
- 一键适配功能:向日葵客户端自带内网和防火墙适配功能。您可以在被控端的向日葵设置中找到“一键修复”或“网络诊断”工具,它会自动向本地防火墙添加允许规则,无需手动配置复杂参数。
- 系统时间同步:若提示“网络连接异常”,需确认被控端电脑的系统时间与网络标准时间同步。时间偏差会导致 SSL/TLS 加密握手失败,进而断开连接。
四、 网络连通性与 NAT 环境验证
- 测试方法:可以尝试临时关闭公司的 VPN 或代理工具;如果被控端在公司机房,可尝试让主控端切换至手机热点(4G/5G网络)发起连接,以排除公司局域网内部路由或运营商网络的干扰。
暂无评论
你这个问题的核心不是 “端口没放通”,而是IPS/AV/URL 过滤 / 威胁情报把向日葵当成恶意远程工具,会话建立后被安全引擎主动断开(特征库匹配→阻断→连接 1 秒就断、错误码 49152)。你之前只放了端口,没处理应用层安全策略,所以无效。下面按 “先应急恢复→再彻底放行→最后排查日志” 给你完整步骤(适配 F1000-AK1020+IAUT 四合一授权)。
一、先应急:临时关闭 IPS/AV/ 应用过滤(立刻验证)
在防火墙命令行执行(低峰操作):
bash
运行
system-view
# 1. 关闭IPS策略(最关键)
ips policy disable
# 2. 关闭AV病毒过滤
av policy disable
# 3. 关闭URL过滤(可选)
url-filter policy disable
# 4. 关闭安全威胁情报(可选)
threat-intel policy disable
save
执行后再测试向日葵:能连上→确认是安全引擎拦截;仍不行→再查端口 / 会话。
二、彻底放行:做 “应用白名单 + 端口放行 + 豁免安全策略”
1. 放向日葵真实端口(你之前端口范围错了)
向日葵远控主要端口:
TCP:21115-21119、40000-40999(远控桌面)
UDP:21115-21119(心跳 / 穿透)
bash
运行
# 新建高级ACL(替换你之前的3001)
acl advanced 3002
rule permit tcp destination-port range 21115 21119
rule permit tcp destination-port range 40000 40999
rule permit udp destination-port range 21115 21119
# 删掉旧的错误ACL(可选)
undo acl advanced 3001
2. 安全策略绑定新 ACL + 放通应用
bash
运行
# 先删除旧的无效策略
security-policy ip
undo rule 51
undo rule 52
# 新建策略:Trust→Untrust,源172.16.52.0/24,允许向日葵端口+应用
rule 51 name permit_sunlogin
source-zone Trust
destination-zone Untrust
source-ip-subnet 172.16.52.0 255.255.255.0
destination-ip-subnet any
service-port tcp destination range 21115 21119
service-port tcp destination range 40000 40999
service-port udp destination range 21115 21119
# 关键:豁免IPS/AV/URL过滤
ips disable
av disable
url-filter disable
threat-intel disable
action pass
save
3. 配置应用识别白名单(最关键,防止 IPS 误判)
bash
运行
# 新建应用组,加入向日葵
application group sunlogin
member sunlogin
# 全局白名单,不检测向日葵流量
security-policy application
rule name whitelist_sunlogin
application-group sunlogin
action trust
save
三、排查日志:确认是哪个模块拦截
Web 界面:日志中心→安全日志→IPS/AV/URL 过滤 / 威胁情报,搜索 “sunlogin” 或 “向日葵”,看拦截日志里的模块 + 规则 ID。
命令行:
bash
运行
# 查IPS拦截
display logbuffer | include IPS | include sunlogin
# 查AV拦截
display logbuffer | include AV | include sunlogin
# 查URL过滤
display logbuffer | include URL | include sunlogin
日志会明确显示:IPS 规则 xxx 阻断向日葵(恶意远程工具),确认后可针对性放行。
四、被控端本地检查(避免双重拦截)
Windows 防火墙:允许SunloginClient.exe通过(公私网都勾)。
安全软件(360 / 火绒):把向日葵加入信任列表 / 白名单。
重启向日葵客户端,更新到最新版。
五、总结(你之前错在哪)
❌ 只放了 49152-65535(向日葵不用这个段)
❌ 没关闭 / 豁免 IPS/AV/URL 过滤(IAUT 授权后默认开启,拦截远程工具)
❌ 没做应用白名单(防火墙识别向日葵为恶意远控,会话后阻断)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论